Sin pruebas, pero todos pagan: el grupo Warlock rompió la regla de oro de la ciberextorsión

El grupo Warlock, también conocido como Storm-2603 y GOLD SALEM, en cuestión de meses se ha convertido de un novato en un actor notable en el mercado de ataques de ransomware. Investigadores de Sophos informan que la actividad de este grupo comenzó en marzo de 2025, y para septiembre ya contaba con su propio portal de filtraciones «Warlock Client Data Leak Show», donde figuran alrededor de 60 víctimas. Además, los atacantes operan en todo el mundo — desde pequeñas entidades gubernamentales y empresas comerciales hasta corporaciones transnacionales en América del Norte y del Sur y Europa.

Los incidentes de agosto llamaron la atención sobre Warlock: los delincuentes se jactaron de haber comprometido a la francesa Orange y a la británica Colt. En el último caso afirmaron haber sustraído un millón de documentos e incluso anunciaron una subasta para vender el archivo.

Más tarde, en el mismo sitio figuró como víctima la alianza aérea internacional Star Alliance, sin que la organización emitiera confirmaciones oficiales, y la entrada iba acompañada de una indicación de venta del conjunto de datos robados. Además, a diferencia de otros grupos de ransomware, Warlock no publica las fechas de los ataques y rara vez muestra ejemplos de materiales sustraídos, limitándose a anotaciones concisas sobre el estado del rescate o a un enlace al archivo.

El estilo de negociación de Warlock es deliberadamente duro: en su sitio acusan a las organizaciones de irresponsabilidad y amenazan con publicar los datos si se niegan a contactar. Al mismo tiempo, con las grandes corporaciones que poseen información críticamente sensible, afirman que el conjunto completo de lo robado no se publicará públicamente. Este enfoque permite al grupo presionar la reputación de la víctima y mantener el interés de los compradores en el mercado negro.

El informe de Sophos presta atención a la técnica de los ataques. La primera aparición pública de Warlock fue en junio en uno de los foros de hackers, donde un representante del grupo buscaba exploits para aplicaciones corporativas como Veeam, ESXi y SharePoint, así como herramientas para evadir sistemas EDR. Ya en julio Microsoft registró el uso por parte de este grupo de una nueva vulnerabilidad de día cero en servidores locales de SharePoint.

Inicialmente el exploit fue utilizado por el grupo chino Salt Typhoon el 18 de julio, pero debido a una actualización problemática quedaron vulnerables decenas de miles de sistemas, incluidos servidores gubernamentales. Warlock aprovechó la situación e implantó su propia cadena ToolShell para instalar web shells y afianzarse en la red mediante un servidor escrito en Go basado en WebSockets.

Además, los atacantes combinan activamente métodos probados con el tiempo: usan Mimikatz para robar credenciales, PsExec e Impacket para el movimiento lateral, y distribuyen el cifrador por la red a través de políticas de grupo. Para el tráfico oculto emplean herramientas legítimas, en particular Velociraptor. Esta combinación hace que sus ataques sean flexibles y difíciles de detectar. Sophos señala que esa mezcla de técnicas estándar y novedades puntuales muestra una buena preparación y audacia de los ejecutores.

En poco tiempo Warlock ha entrado en la lista de las veinte operaciones de ransomware más activas del último año. Según los expertos, es poco probable que la intensificación de la presión sobre la infraestructura de las empresas se detenga sin medidas agresivas por parte de los defensores.

Para reducir riesgos, los expertos aconsejan a las organizaciones prestar mayor atención al monitoreo de la superficie de ataque, aplicar puntualmente los parches para los servicios públicos expuestos, y mantener la preparación para una respuesta rápida ante incidentes. Sophos subraya: conocer la táctica de Warlock es necesario para fortalecer la defensa antes de que el grupo elija una nueva víctima.